Ok inizio a vederci meglio in mezzo alla nebbia, scusa ma se io, che vorrei provare ad aiutarti, non conosco i passaggi e la logica, rischio di dire cavolate inutili....non stai chiedendo come fare una Query...ma stai chiedendo la logica di uno o più processi...

Cmq
Ovviamente sia la societa 1 che la societa 2, conoscono la formula per calcolare l'hash
molto bene questa è una cosa ovviamente positiva


data quest'ultima tua affermazione, a mio avviso si, può reggere anche perchè l'utente non conosce la password e non potrà mai, anche se capace ricalcolare la chiave....e se dovesse modificare tutti i campi compreso hash_sha256...sarebbe poi ricalcolato dalla società 2 che vedrebbe una "evidente anomalia"

Finalmente
si l'hash_sha256 calcolato....dato che "la societa 1 che la societa 2, conoscono la formula per calcolare l'hash"
è una buona idea